С 1 марта 2026 года вступили в силу Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий и государственных учреждений, утвержденные приказом ФСТЭК России от 11 апреля 2025 г. № 117 (далее — Требования, Приказ № 117).
И начался хаос. Многие организации до сих пор не понимают, что именно предпринимать. Изначально все ожидали, что 1 марта 2026 года станет знаковой датой, знаменующей новый этап в сфере информационной безопасности. Однако по состоянию на 27 марта 2026 года ясности так и не появилось: вопросы «что и как делать» остаются открытыми.
Методический документ «Мероприятия и меры по защите информации, содержащейся в информационных системах» должен был внести ясность и обозначить необходимые меры, но вышло наоборот — вопросов стало только больше. На данный момент остается лишь ждать, когда ФСТЭК разработает и введет в действие актуальные требования.
Кроме того, источники, приближенные к ФСТЭК, сообщают, что с сентября 2026 года планируется пересмотр порядка определения класса защищенности. Возможно, ведомство вернется к старой модели с четырьмя классами, где 4-й класс будет присваиваться негосударственным информационным системам. Для них предусмотрены определенные упрощения, поскольку сейчас мало какие организации могут похвастаться соответствием Приказу № 117 хотя бы наполовину.
Так или иначе Приказ № 117 знаменует собой новый этап развития регулирования в области защиты информации в Российской Федерации и заменяет ранее действовавший приказ ФСТЭК России от 11 февраля 2013 г. № 17.
Приказ № 17 действовал более десяти лет и был разработан в условиях иной технологической реальности. За этот период произошли фундаментальные изменения.
Произошла цифровая трансформация государственного управления: массовый переход государственных услуг в электронный формат, внедрение платформенных решений, развитие межведомственного электронного взаимодействия.
Существенно усложнился ландшафт угроз: увеличилось количество и изощренность компьютерных атак, появились новые векторы реализации угроз, связанные с использованием искусственного интеллекта, облачных технологий и контейнерных сред.
Изменилась архитектура информационных систем: произошел переход от монолитных решений к микросервисным архитектурам, активно используются виртуализация, контейнеризация и технологии интернета вещей.
В этих условиях сохранение прежнего подхода к регулированию, ориентированного преимущественно на технические меры защиты и формализованные процедуры аттестации, перестало соответствовать актуальным вызовам.
Приказ № 117 отражает переход от статичной модели соответствия к динамичной системе управления защитой информации, основанной на процессном подходе и непрерывной оценке эффективности.
Нормативная база и область применения
Требования, установленные Приказом № 117, являются обязательными при обработке и хранении информации в следующих категориях информационных систем:
-
государственные информационные системы;
-
иные информационные системы государственных органов, используемые для
-
обеспечения их деятельности;
-
информационные системы государственных унитарных предприятий и государственных учреждений.
При этом Требования не распространяются на информационные системы Администрации Президента Российской Федерации, аппарата Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации и Аппарата Правительства Российской Федерации, а также на системы Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации, органов, осуществляющих разведывательную и контрразведывательную деятельность, и систем управления вооружением, военной и специальной техникой.
В муниципальных информационных системах защита информации обеспечивается в соответствии с Требованиями, если иное не установлено законодательством Российской Федерации.
Организационные требования и документальное обеспечение
Одним из ключевых нововведений Приказа № 117 является введение четкой иерархии внутренних документов оператора. Если Приказ № 17 требовал наличия организационно-распорядительных документов без детальной структуризации, то Приказ № 117 устанавливает трехуровневую систему документации, включающую политику защиты информации, внутренние стандарты и внутренние регламенты.
Также ужесточены требования к кадровому обеспечению. В соответствии с пунктом 20 Требований не менее 30 процентов работников структурного подразделения по защите информации должны иметь профильное образование в области информационной безопасности либо пройти профессиональную переподготовку.
Это означает необходимость проведения аудита квалификаций сотрудников и, при необходимости, планирования обучения.
Управление деятельностью по защите информации
Приказ № 117 внедряет процессный подход к управлению защитой информации на основе цикла непрерывного улучшения.
Управление включает этап планирования, в рамках которого определяются события, системы, угрозы, состав мероприятий и ресурсы; этап реализации мероприятий по блокированию угроз; этап оценки состояния защиты; и этап совершенствования, предполагающий разработку мер по повышению уровня защищенности.
Таким образом, защита информации становится непрерывным управляемым процессом.
Показатели Кзи и Пзи
Введение количественных метрик эффективности является одним из ключевых отличий Приказа № 117.
Как это выглядит в структурированном виде:
|
Показатель |
Наименование |
Сущность |
Периодичность расчета |
|
Кзи |
Показатель защищенности |
Характеризует текущее состояние защиты от базового уровня угроз |
Не реже 1 раза в 6 месяцев |
|
Пзи |
Показатель уровня зрелости |
Определяет достаточность и эффективность проведения мероприятий |
Не реже 1 раза в 2 года |
Показатель Кзи характеризует текущее состояние защищенности от базового уровня угроз и рассчитывается не реже одного раза в шесть месяцев.
Показатель Пзи определяет достаточность и эффективность проведения мероприятий и рассчитывается не реже одного раза в два года.
Для расчета показателей применяются методические документы ФСТЭК России. Результаты оценки должны направляться в регулятор не позднее пяти рабочих дней после расчета.
Это требует внедрения инструментов автоматизированного сбора и обработки данных о состоянии защиты.
Технические меры и средства защиты информации
Приказ № 117 вводит существенно переработанную систему базовых мер защиты информации.
Состав мер расширен до восемнадцати групп, что обусловлено необходимостью защиты современных технологических стеков, включая облачные вычисления, контейнеризацию и веб-технологии.
Реализация данных мер невозможна без использования специализированных средств защиты информации, соответствующих установленным классам защиты и уровням доверия.
Защита привилегированного доступа
Защита привилегированного доступа выделена в отдельное направление. Требования запрещают объединение ролей системного администрирования, разработки и администрирования безопасности в рамках одной учетной записи.
Все действия привилегированных пользователей подлежат обязательной регистрации и контролю.
Для обеспечения строгой аутентификации, учета сессий и разделения полномочий требуется использование специализированных систем управления привилегированным доступом.
Непрерывный мониторинг и управление уязвимостями
Управление уязвимостями является обязательным мероприятием и требует внедрения автоматизированных систем мониторинга.
Установлены конкретные сроки устранения уязвимостей: для критического уровня – не более 24 часов, для высокого уровня – не более 7 календарных дней.
Сканирование всех активов должно проводиться не реже одного раза в месяц.
При выявлении уязвимостей, отсутствующих в базе ФСТЭК, оператор обязан направить информацию о них регулятору в срок не более пяти рабочих дней.
Процесс управления уязвимостями должен включать валидацию ложных срабатываний, подтверждение эксплуатируемости и контроль устранения.
Защита веб-приложений и предотвращение утечек
Для защиты веб-приложений требуется использование специализированных средств, обеспечивающих контроль и фильтрацию трафика на прикладном уровне.
Для предотвращения утечек информации необходимо внедрение систем контроля передачи данных, обеспечивающих контроль как сетевых каналов, так и портов ввода-вывода конечных устройств.
Защита сервисов электронной почты
Почтовые системы выделены в отдельное направление базовых мер.
Оператор обязан обеспечить защиту сообщений на всех этапах жизненного цикла, включая резервное копирование, аудит учетных записей и регистрацию событий безопасности.
Должен быть реализован контроль вложений и ссылок, защита от вредоносного программного обеспечения, использование изолированных сред для анализа подозрительных объектов, а также механизмы защиты от фишинга и спама.
Дополнительно требуется сокрытие служебной информации и предотвращение раскрытия сведений о почтовых ящиках.
Антивирусная защита
Антивирусная защита должна обеспечивать проверку как файлов, так и сетевого трафика в режиме, близком к реальному времени.
Для выявления сложных угроз необходимо использование изолированных сред исполнения, позволяющих анализировать подозрительные объекты без риска для основной инфраструктуры.
Защита конечных точек
Приказ устанавливает требование к построению эшелонированной системы защиты, при которой средства защиты должны быть развернуты не только на периметре, но и на конечных устройствах пользователей.
Для этого требуется внедрение систем обнаружения и реагирования на уровне рабочих станций и серверов, обеспечивающих мониторинг процессов и выявление аномального поведения.
Требования к архитектуре защиты
Средства защиты должны быть развернуты на всех уровнях инфраструктуры: на периметре, на границах сегментов и на конечных устройствах.
Это обеспечивает многоуровневый контроль и возможность своевременного выявления и блокирования атак на любой стадии.
Требования к средствам защиты информации
Все применяемые средства защиты информации должны быть сертифицированы ФСТЭК России и соответствовать установленным классам защиты.
Обязательным условием является наличие поддержки на территории Российской Федерации, включая выпуск обновлений и устранение уязвимостей.
Использование зарубежных средств защиты без поддержки на территории РФ запрещено.
Разъяснения ФСТЭК и порядок перехода
ФСТЭК опубликовал разъяснения по применению Требований, определяющие порядок работы в переходный период.
При создании новых информационных систем необходимо руководствоваться Приказом № 117.
При модернизации действующих систем требуется планирование перехода и проведение дополнительных аттестационных испытаний.
Для ранее заключенных договоров допускается выполнение работ в соответствии с прежними требованиями.
План перехода
Для поэтапного внедрения требований рекомендуется разработать план перехода, включающий перечень мероприятий, сроки и ответственных исполнителей.
Итог
Приказ № 117 фиксирует переход к новой модели регулирования защиты информации, основанной на управляемости процессов и оценке эффективности.
Это требует от организаций пересмотра подходов, внедрения новых инструментов и выстраивания системной работы с безопасностью.
Автор: it_angel
